The Gentlemen 랜섬웨어 탐지: 그룹 정책 악용 및 고급 도구 사용한 새로운 공격 캠페인으로 주요 조직 표적
목차:
새롭게 확인된 BQTLOCK 랜섬웨어(풀 RaaS 모델을 통해 배포) 직후, 보안 연구자들은 또 다른 대규모 랜섬웨어 작전을 발견했습니다. 이전에는 알려지지 않았던 그룹인 ‘The Gentlemen’은 고도로 전문화된 도구를 사용하고, 17개 이상의 지역과 여러 산업 부문의 중요 인프라를 대상으로 철저한 정찰을 수행하며 빠르게 주목을 받았습니다. 이들의 캠페인은 합법 드라이버 남용, 그룹 정책 조작, 맞춤형 안티 AV 도구, 특권 계정 침해, 암호화 데이터 외부 유출 채널 등을 혼합하여 사용합니다.
Gentlemen 랜섬웨어 탐지
2025년 1분기, Check Point는 랜섬웨어 공격이 급증하여 전년 대비 126% 증가했으며, 조직은 하루 평균 275건의 사고에 직면했습니다. Sophos의 “State of Ransomware 2025” 보고서에 따르면, 이러한 공격의 주요 원인은 40.2%의 조직이 충분한 내부 전문 지식을 갖추지 못했으며, 40.1%는 미확인 보안 격차를 가지고 있고, 39.4%는 인력이나 역량 부족으로 인해 점점 더 정교해지는 위협에 취약했다는 것입니다.
Gentlemen과 같은 새로운 랜섬웨어 변종이 계속 등장함에 따라, 사이버 방어자는 시의적절하고 고품질의 탐지 콘텐츠와 고급 사이버 보안 도구를 활용하여 빠르게 진화하는 위협 환경에 대응해야 합니다.
SOC Prime 플랫폼에 등록하면, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅 및 고급 위협 탐지를 지원하는 완전한 제품군을 통해 시의적절한 위협 인텔리전스와 실질적인 탐지 콘텐츠를 확보할 수 있습니다. 아래 Explore Detections 버튼을 클릭하면 Gentlemen 랜섬웨어 활동을 탐지하도록 설계된 Sigma 규칙 모음을 이용할 수 있습니다.
SOC Prime 플랫폼의 모든 규칙은 다양한 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한 각 규칙에는 CTI 참조, 공격 타임라인, 분류 권장 사항 등 상세한 메타데이터가 포함되어 있습니다.
원하는 경우, 사이버 방어자는 보다 광범위한 ” Ransomware” 태그를 적용하여 전 세계 랜섬웨어 공격을 다루는 다양한 탐지 규칙에 접근할 수 있습니다.
보안 전문가들은 탐지 엔지니어링을 위한 프라이빗 IDE이자 코파일럿인 Uncoder AI를 활용하여 위협 조사를 효율화할 수 있습니다. 최신 Uncoder AI 업데이트는 새로운 AI 챗봇 모드와 MCP 도구를 도입하여 사이버 방어자가 탐지 엔지니어링 작업을 종합적으로 관리할 수 있도록 지원합니다. 사용자는 원하는 언어로 커스텀 프롬프트를 입력하거나, 대화형 인터페이스에서 미리 구축된 작업을 선택할 수 있습니다. 예를 들어, 사이버 방어자는 Gentlemen 랜섬웨어에 대한 Trend Micro 최신 보고서를 활용하여 클릭 한 번으로 공격 흐름을 생성할 수 있습니다.
Gentlemen 랜섬웨어 분석
2025년 8월, Trend Micro 연구자들은 The Gentlemen이라는 새롭고 이전에 알려지지 않은 위협 그룹의 랜섬웨어 캠페인을 조사했습니다. 공격자는 기업 환경을 체계적으로 침해하고 고급 운영 능력을 보여주며 빠르게 위협 환경에 자리 잡았습니다. 특히, Gentlemen 랜섬웨어 그룹은 캠페인 중 도구를 적응시켜 일반 안티 AV 유틸리티에서 특정 대상에 맞춘 고급 버전으로 발전시키며 유연성과 지속성을 입증했습니다.
Gentlemen은 주로 제조업, 건설업, 의료 및 보험 부문의 조직을 대상으로 하여 최소 17개국에서 공격을 수행했습니다. 또한 랜섬웨어 배포를 위해 특권 도메인 계정을 사용하고, 보안 방어를 회피하며 지속성을 유지하기 위한 정교한 회피 기법을 개발했습니다.
Gentlemen은 인터넷에 노출된 서비스나 침해된 자격 증명을 이용하여 발판을 확보했을 가능성이 높습니다. Advanced IP Scanner 사용과 같은 초기 네트워크 정찰 징후는 계획된 침입 전략임을 보여줍니다. 공격자는 이 도구를 사용하여 인프라를 매핑하고 Active Directory를 조사하며, 도메인 및 엔터프라이즈 관리자 계정과 itgateadmin과 같은 맞춤 특권 그룹에 주목했습니다.
배치 스크립트(1.bat)를 실행하여 도메인 내 60개 이상의 사용자 계정을 열거하고, 표준 관리 그룹과 가상화 관련 그룹(예: VMware)을 쿼리하여 하이브리드 환경에서의 횡적 이동을 준비했음을 나타냈습니다.
초기 방어 회피를 위해 그룹은 All.exe와 ThrottleBlood.sys를 배포하여 합법 서명된 드라이버를 악용해 보호된 보안 도구의 커널 수준 프로세스를 종료했습니다. 제한 사항을 인식한 후 Gentlemen 랜섬웨어 그룹은 기존 엔드포인트 보호를 정밀 조사하고, PowerRun.exe를 통해 권한 상승을 시도하며 보안 서비스를 비활성화하려 했습니다. 이후, 특정 보안 에이전트 프로세스를 종료하도록 설계된 커스텀 도구(Allpatch2.exe)를 도입하여 피해자 환경에 맞춘 기술 적용 능력을 보여주었습니다. 공격자는 PsExec를 사용하고, 인증 및 원격 액세스 방어를 약화시키기 위해 중요한 레지스트리 설정을 조작했습니다. 또한 정규 원격 도구를 통해 C2 접근을 유지하며, 리빙-오프-더-랜드 기술과 맞춤 회피 유틸리티를 결합한 전문성을 보여주었습니다.
Gentlemen 랜섬웨어는 백업, 데이터베이스, 보안 운영과 관련된 중요 서비스를 적극적으로 종료하여 혼란을 극대화합니다. 특정 명령으로 프로세스를 체계적으로 종료하는 것은 물론, 복구 시도와 포렌식 분석을 방해하는 추가 명령도 실행합니다. 마지막 단계에서는 ping 명령으로 짧은 지연을 도입한 후, 랜섬웨어 바이너리를 삭제하고 자신을 제거하는 클린업 배치 스크립트를 실행하여 암호화 프로세스 완료 후 모든 흔적을 완전히 지웁니다.
Gentlemen 랜섬웨어 캠페인은 고급 기술과 지속적이며 표적화된 운영을 결합한 현대 위협의 급속한 진화를 보여줍니다. 맞춤형 방어 회피 도구 사용, 기존 보안 환경에 대한 적응, 합법적·취약한 구성요소 활용으로 계층화된 방어를 효과적으로 우회합니다. 중요 인프라 공격과 이중 갈취 사용에 집중함으로써 일반 랜섬웨어에서 고도로 표적화된 공격으로의 전환을 보여주며, 탐지, 예방, 대응 과제를 크게 증가시킵니다. Gentlemen 랜섬웨어 그룹이 인터넷 노출 시스템과 VPN을 악용하고 있는 점을 고려할 때, 초기 접근 차단과 잠재적 피해를 제한하기 위해 제로 트러스트 도입이 필수적입니다. 잠재적 완화 방안으로, 조직은 도메인 컨트롤러 공유 접근을 제한·모니터링하고, 드라이버 악용 또는 안티 AV 활동 신호를 보이는 호스트를 자동으로 격리해야 합니다. 시간 기반 특권 접근을 적용하고 자동으로 권한을 낮추며, Active Directory 대량 쿼리 및 그룹 변경을 탐지하고, 주요 공유에 데코이 기술을 적용해 초기 정찰을 포착하는 것도 공격 표면을 줄이는 핵심 조치입니다. SOC Prime은 AI, 자동화 기능, 실시간 위협 인텔리전스를 기반으로 제로 트러스트 원칙에 따른 기업용 보안 보호를 위한 완전한 제품군을 큐레이션하여 글로벌 조직이 규모에 맞게 방어를 강화할 수 있도록 지원합니다.
